Substitui padrões locais do sudo usando sss ou ldap

2

Estou tentando configurar um domínio IPA para usar as seguintes opções de sudo para um grupo de comando específico:

!authenticate
!requiretty
visiblepw

Localmente, os seguintes padrões são definidos em /etc/sudoers :

Defaults requiretty
Defaults !visiblepw

Inicialmente, as configurações IPA (ou seja, LDAP) seriam ignoradas em favor dos padrões locais. No entanto, depois de alterar /etc/nsswitch.conf deste

sudoers files sss

Para isso

sudoers sss files

As opções de sudo por comando do IPA foram respeitadas. Eu encontrei este post , sobre LDAP geralmente, isso confirma meus resultados. No entanto, não explica por que isso funciona.

Na verdade, a documentação do sudo LDAP diz o seguinte:

Note that sudo does not stop searching after the first match and later
matches take precedence over earlier ones.

O que implica que o comportamento deve ser o oposto do que estou vendo.

Então, por que funciona dessa maneira? Por favor, forneça uma referência de documentação, se possível.

    
por orodbhen 17.05.2016 / 19:23

0 respostas

Tags